Pohjois-Korean hakkereita syytetään 50 miljoonan dollarin säteilevän pääoman ryöstöstä

Jäädyttävänä paljastuksena Decentralized Financial (DeFi) -projekti Radiant Capital on vahvistanut, että pohjoiskorealaiset hakkerit järjestivät 50 miljoonan dollarin varkauden hienostuneessa lokakuun hyökkäyksessä. Rikkominen käytti hyväkseen haittaohjelmia, usean allekirjoituksen protokollia ja ovelaa sosiaalisen suunnittelun temppua kerätäkseen varoja pois ydinmarkkinoilta, jolloin alusta ja sen käyttäjät jumiutuivat.

Kuinka hyökkäys tapahtui

Ryöstö alkoi kohdistetulla tietojenkalasteluohjelmalla syyskuussa Radiantin post mortem -raportin mukaan. Kehittäjä sai Telegram-viestin tililtä, joka esiintyi luotettavana entisenä urakoitsijana. Viesti sisälsi zipatun PDF-tiedoston, jonka väitettiin liittyvän älykkään sopimusten auditointimahdollisuuteen. Rutiinilta näyttävä pyyntö johti tuhoisiin seurauksiin.

Kun kehittäjä jakoi tiedoston palautetta varten, useat laitteet saivat Inletdriftin , takaoven haittaohjelman, tartunnan. Haittaohjelma antoi hyökkääjille mahdollisuuden valvoa ja manipuloida kehittäjien järjestelmiä, mikä loi alustan 16. lokakuuta tapahtuvalle rikkomiselle. Tartuttamalla kolme ydinkehittäjää, hakkerit pääsivät Radiantin usean allekirjoituksen lompakkoon rutiinipäästöjen säätöprosessin aikana.

Harhaanjohtava operaatio

Hyökkääjät suorittivat vilpillisiä tapahtumia nostamatta punaisia lippuja, kiitos kumouksellisen tempun, joka petti Radiantin Safe{Wallet}-vahvistusjärjestelmän. Lompakon käyttöliittymä näytti lailliset tapahtumatiedot kehittäjille, mikä peitti taustalla tapahtuvat haitalliset toiminnot.

Radiant paljasti, että varastetut varat nostettiin käyttäjien tileiltä avoimilla hyväksynnöillä. Yhtiö selitti lausunnossaan:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Hakkerit käyttivät haitallisia älykkäitä sopimuksia useisiin lohkoketjuverkkoihin, mukaan lukien Arbitrum , Base , Binance Smart Chain ja Ethereum . Kun ryöstö oli saatu päätökseen, he poistivat nopeasti jäljet haittaohjelmista ja siihen liittyvistä selainlaajennuksista peittääkseen jälkensä.

Attribuutio Pohjois-Korean hakkereille

Loukkausta tutkinut kyberturvallisuusyritys Mandiant katsoi, että hyökkäys johtui Pohjois-Korean valtion tukemasta uhkatekijästä, joka tunnetaan nimellä UNC4736 . Ryhmä, jota kutsutaan myös nimellä AppleJeus tai Citrine Sleet , toimii ulkomaisen tiedustelupalvelun Pjongjangin Reconnaissance General Bureaun (RGB) alaisuudessa. Mandiant sanoi:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 on aiemmin kohdistanut kryptovaluuttaalustoja Pohjois-Korean hallinnon rahoittamiseen ja kansainvälisten pakotteiden kiertämiseen. Ryhmä on surullisen kuuluisa väärennettyjen työtarjousten ja haitallisten asiakirjojen tunkeutumisesta organisaatioihin, mikä heijastui Radiant Capital -hyökkäyksessä.

Fallout ja opitut asiat

Ryöstö aiheutti vakavan iskun Radiant Capitalille, tyhjensi sen likviditeettiä ja vahingoitti käyttäjien luottamusta. Vaikka projekti on sittemmin vahvistanut suojausprotokolliaan, tapaus korostaa DeFi-alustoille ominaisia haavoittuvuuksia.

Käyttäjille ja kehittäjille tärkeimpiä huomioita ovat:

1. Varo sosiaalista suunnittelua: Tarkista aina odottamattomat viestit, erityisesti ne, jotka koskevat työtarjouksia tai tiedostojen latauksia.
2. Harden Multi-Signature Processes: Vahvista usean allekirjoituksen tapahtumien tarkistusmekanismeja mahdollisten poikkeamien havaitsemiseksi.
3. Sijoita haittaohjelmien havaitsemiseen: Käytä kehittyneitä uhkien havaitsemistyökaluja takaoven haittaohjelmien ja muiden kehittyneiden uhkien tunnistamiseen.

Radiant Capitalin ryöstö on jyrkkä muistutus kyberrikollisten, erityisesti valtion tukemien ryhmien, kuten Pohjois-Korean UNC4736:n, kehittyvyydestä. Kun DeFi-ekosysteemi jatkaa kasvuaan, kasvaa myös sen houkuttelevuus uhkatoimijoille, jotka etsivät suuria voittoja. Puolustuksen vahvistaminen ja valppauden lisääminen kehittäjien ja käyttäjien keskuudessa on ratkaisevan tärkeää jatkuvassa taistelussa hajautetun rahoituksen turvaamiseksi.